Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

sicurezza informatica

Cybersecurity Act 2: la revisione 2026 è un’evoluzione matura della resilienza digitale UE

Home Cybersecurity nazionale
Partecipa al dibattito
Indirizzo copiato

La Commissione UE presenta il Cybersecurity Act 2 puntando su certificazione più ampia (anche servizi gestiti e postura delle organizzazioni) e su misure per ridurre i rischi di filiera, inclusi “key ICT assets” e fornitori ad alto rischio. Ecco gli impatti e i consigli pratici per prepararsi

Pubblicato il 21 gen 2026
Sandro Sana

Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0

Cybersecurity Act 2

La Commissione europea ha messo sul tavolo la proposta di riforma del Cybersecurity Act: non un semplice “ritocco” al Regolamento (UE) 2019/881, ma un impianto che amplia il perimetro (certificazione, supply chain, telecomunicazioni) e introduce una logica più assertiva verso i rischi non tecnici e i fornitori ad alto rischio.

Quando nel 2019 l’Unione Europea ha adottato il Cybersecurity Act, il contesto digitale e geopolitico era profondamente diverso da quello attuale. Il regolamento nasceva con due obiettivi chiave: attribuire un mandato permanente all’ENISA e istituire un quadro europeo di certificazione della cybersicurezza per prodotti, servizi e processi ICT, riducendo la frammentazione normativa tra Stati membri e rafforzando la fiducia nel mercato unico digitale.

Quel passo è stato fondamentale. Ha posto le basi istituzionali della cyber sicurezza europea e ha introdotto una visione comune in un ambito fino ad allora molto disomogeneo. Tuttavia, era inevitabilmente figlio del suo tempo: un’epoca in cui la supply chain digitale non era ancora percepita come un fattore di rischio strategico e in cui il cybercrime non aveva raggiunto l’attuale livello di industrializzazione, organizzazione e impatto sistemico.

Il Cybersecurity Act 2 si colloca esattamente in questa traiettoria evolutiva. Non stravolge l’impianto originario, ma lo rafforza, lo rende più operativo e lo allinea a uno scenario in cui la cyber sicurezza è ormai una componente strutturale della sicurezza economica, industriale e, sempre più, geopolitica dell’Unione.

Rafforzamento delle capacità, non una corsa alla compliance

Uno degli aspetti più apprezzabili della revisione è l’approccio adottato: non una proliferazione di nuovi obblighi formali per le imprese, ma un investimento deciso sulle capacità del sistema europeo nel suo complesso.

La logica non è “più regole”, ma più resilienza, intesa come capacità di prevenire, assorbire e gestire eventi cyber di ampia portata.

In questo quadro si inserisce il rafforzamento del ruolo di ENISA, che evolve ulteriormente da centro di competenza a vero e proprio nodo di coordinamento operativo.

L’Agenzia viene messa nelle condizioni di supportare gli Stati membri non solo sul piano strategico e metodologico, ma anche nella gestione delle crisi, nella condivisione tempestiva delle informazioni e nello sviluppo di capacità comuni.

È un passaggio importante, che riconosce come gli incidenti cyber più gravi non possano più essere gestiti in modo efficace restando confinati entro i confini nazionali.

Coerenza normativa e visione di sistema

La revisione del Cybersecurity Act non va letta isolatamente, ma come parte di un disegno più ampio che comprende NIS2, DORA, CER e il Cyber Resilience Act. Il segnale è chiaro: l’Unione Europea sta cercando di costruire un impianto coerente di governance della sicurezza digitale, evitando sovrapposizioni inutili e spingendo verso una lettura integrata del rischio.

Per le organizzazioni, questo approccio rappresenta un’opportunità. Riduce la frammentazione, favorisce l’allineamento tra compliance e gestione del rischio e spinge verso modelli di sicurezza sempre meno “a silos” e sempre più integrati nei processi decisionali e nella strategia aziendale. È una maturazione culturale prima ancora che normativa.

Proposte di modifica e integrazione: cosa prevede la revisione

Entrando nel merito, la proposta della Commissione si articola su alcuni assi principali che meritano attenzione.

Più attenzione alla supply chain ICT

Il primo riguarda la supply chain ICT. Viene introdotto un quadro europeo per la gestione dei rischi legati ai fornitori tecnologici nelle infrastrutture critiche, con un approccio armonizzato, proporzionato e basato sul rischio. Non si tratta solo di valutare la sicurezza tecnica dei prodotti, ma anche di considerare dipendenze, concentrazioni, interferenze esterne e rischi sistemici.

Un passaggio delicato, ma ormai inevitabile, se si vuole affrontare seriamente il tema della resilienza.

Viene rafforzata la certificazione cyber

Il secondo asse è quello della certificazione. Il framework europeo viene rafforzato puntando su maggiore efficacia e tempestività. L’obiettivo è rendere gli schemi più rapidi da sviluppare, più aderenti all’evoluzione tecnologica e, soprattutto, più utili nella pratica.

La certificazione viene così rilanciata come strumento di fiducia e non come mero esercizio formale.

Semplificazione e coordinamento con NIS2

Il terzo elemento riguarda la semplificazione e il coordinamento con NIS2. La revisione mira a ridurre oneri amministrativi inutili e a favorire una maggiore coerenza nell’attuazione delle normative cyber, evitando che la compliance si trasformi in un accumulo sterile di documentazione scollegata dalla sicurezza reale.

Rafforzamento operativo di ENISA

Infine, un punto centrale è il rafforzamento operativo di ENISA, che comprende capacità di early warning, supporto nella risposta al ransomware, sviluppo di servizi comuni di vulnerability management e un ruolo nel modello europeo di incident reporting “one-stop”.

A questo si accompagna un incremento significativo delle risorse, necessario per rendere credibile questo salto di qualità.

Impatti concreti per le aziende soggette a NIS2

Per le organizzazioni già rientranti nel perimetro NIS2, la revisione del Cybersecurity Act non introduce nuovi obblighi immediati, ma alza in modo evidente il livello di aspettativa in termini di maturità e responsabilità.

La gestione della supply chain ICT diventa definitivamente un tema di governance. Non è più sufficiente limitarsi a requisiti contrattuali o a valutazioni puntuali: fornitori, dipendenze critiche e concentrazioni tecnologiche entrano a pieno titolo nel perimetro del rischio strategico.

La compliance puramente documentale mostra tutti i suoi limiti. L’enfasi su capacità operative, risposta agli incidenti e gestione delle vulnerabilità rende chiaro che ciò che conterà sempre di più è la capacità dimostrabile di gestire eventi reali, non la perfezione delle policy.

La certificazione, se resa più snella ed efficace, può diventare un fattore competitivo, soprattutto per le aziende che operano in filiere complesse o in settori regolati. La sicurezza by design si trasforma così da costo a leva di posizionamento.

Infine, cresce l’attenzione dei vertici aziendali. Il messaggio è ormai inequivocabile: la cybersicurezza è una responsabilità di governance e un elemento chiave della continuità operativa. Delegarla esclusivamente all’IT non è più una scelta sostenibile. In sintesi, per le aziende NIS2 questa revisione non rappresenta un nuovo adempimento, ma un chiaro segnale di direzione.

Chi ha già investito in governance e processi è sulla strada giusta. Chi è rimasto alla compliance minimale rischia di scoprirlo nel momento meno opportuno.

Una direzione condivisibile e necessaria

Nel complesso, la revisione del Cybersecurity Act rappresenta un’evoluzione matura e pragmatica dell’approccio europeo alla cybersicurezza. Non cede a derive emergenziali né ideologiche, ma punta a rafforzare capacità reali, coordinamento e coerenza di sistema.

Per le imprese, il messaggio è chiaro: la resilienza digitale non è più un’opzione né un semplice obbligo normativo, ma una condizione strutturale per operare e competere in un mercato sempre più interconnesso e instabile.

In questo senso, la direzione intrapresa dalla Commissione è non solo condivisibile, ma necessaria.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Sandro Sana
Esperto e divulgatore in cyber security, membro del Comitato Scientifico Cyber 4.0
Laureato in Ingegneria Informatica e in Scienze della Comunicazione, lavora nel settore dell’Information Technology dal 1990. Nel corso della sua carriera ha collaborato con realtà molto diverse, dalle piccole imprese agli enti pubblici, fino a grandi aziende nazionali e internazionali. Dal 2003 affianca alle competenze tecnologiche un interesse attivo per la comunicazione, il public speaking e la formazione. A partire dal 2014 si dedica con particolare attenzione alla sicurezza informatica, con un focus sull’innovazione, la ricerca e l’evoluzione delle minacce digitali. È certificato CEH – Certified Ethical Hacker, CIH – Certified Incident Handler e CISSP – Certified Information Systems Security Professional. È stato relatore agli eventi SMAU 2017 e 2018, e docente per SMAU Academy e ITS. È membro del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce allo sviluppo di strategie per la formazione, la ricerca applicata e il trasferimento tecnologico nel campo della cyber security. Divulgatore ed editorialista, promuove la cultura della sicurezza digitale con particolare attenzione agli aspetti sociali, economici e normativi della trasformazione digitale. Si occupa di sensibilizzare imprese e istituzioni su rischi, responsabilità e opportunità connesse alla cybersicurezza.

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
PA digitale
AI per il lavoro
Mobile security
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Tecnologie
PA mobile, i vantaggi di continuità operativa, sicurezza integrata e lavoro connesso
Leggi l'articolo Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
La soluzione
Meno tempo sui micro-task e più focus sulle attività a valore aggiunto: l’AI mobile a supporto della produttività
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Sette motivi per cui la cybersecurity ha un'importanza strategica per aziende e nazioni

  • sicurezza aziendale

    Sette motivi che indicano l'importanza strategica della cyber security

    29 Ott 2025

    di Giuditta Mosca

    Condividi
  • Attacchi Transient Schedule (Tsa) contro le Cpu di Amd: come mitigare il rischio

  • vulnerabilità hardware

    Attacchi Transient Schedule (Tsa) contro le CPU di Amd: ci sono le patch, ma non bastano

    15 Lug 2025

    di Mirella Castigli

    Condividi
  • Vulnerabilità Google Chrome update urgente

  • l'analisi tecnica

    Vulnerabilità zero-day in Chrome: Google rilascia una patch urgente, installiamola subito

    11 Dic 2025

    di Paolo Tarsitano

    Condividi
  • Phishing intelligenza artificiale

  • lo studio

    Phishing 2.0, l’era degli LLM: i rischi e come difendersi

    22 Dic 2025

    di Anna Aiuto e Fabrizio D'Amore

    Condividi
0
Lascia un commento, la tua opinione conta.x